【H25春秋SC午後1問2】

１．攻撃の検出について

【DNSの名前解決通信】

• UDPを使用
• UDPは、TCP（3wayハンドシェイクを用いてコネクションを確立）と比べて送信元IPアドレスの詐称の検知が困難。

【キャッシュポイズニング攻撃（CP攻撃）】

• 応答パケットの送信元IPアドレスや宛先ポート番号を細工した攻撃により、大量のDNSパケットがFWにより通過を拒否された。
  CP攻撃を成功しにくくする対策
  ⇒　問合せPTの送信元ポート番号をランダムに変えること

根本的な対策は、公開鍵暗号によるディジタル署名の仕組みを応用したDNSSECというDNSセキュリティ拡張方式を導入することだが、鍵の管理などの運用手順が必要になる。

【FW-A及びC-DNSサーバ（キャッシュDNS）の調査】

• C-DNSサーバには、
  ・上記のCP攻撃を成功しにくくする設定が行われている。
  ・再帰的な名前解決の問合せPTの送信元を限定する設定が行われている。
  しかし、拒否される応答PTが多い状況のため、FW-AとC-DNSサーバを調査。

(1)送信元を詐称した問合せPT

• 送信元が外部メールサーバ、かつ、宛先がC-DNSサーバ、かつ、FW-Aが通過を許可した問合せPT。→　10分に1個受信。
  内容は、国内の取引先G社が取得したドメイン名のTXTレコードの問合せ。
  ⇒　拒否しない設定にしている理由：送信元が外部メールサーバの場合、再帰的な名前解決を許可する必要があるから。

(2)DNSサーバに向けた応答PT

• (1)の問合せPTが届いた直後の1秒間に、送信元がG社のDNSサーバ、かつ、宛先がC-DNSサーバである応答PTが100個届き、FW-Aが通過を拒否した。
• 100個の応答PTの宛先ポート番号は、到着順に連番であった。
• 応答内容はG社のドメイン名のTXTレコードであった。
• TXTレオードには、SPFレコードが設定されていた。SPFレコードに設定されていたIPアドレスは、G社に割り当てられたものではなかった。
• C-DNSサーバが(1)の問合せPTの名前解決を行うための問合せPTは、インターネット上のDNSサーバに送信されてはいなかった。

この攻撃は偶然に成功する可能性があり、攻撃に続く攻撃として、
⇒　G社のドメイン名になりすましたメールを外部メールサーバに送信する
という、TXTレコードを利用する機能への攻撃が発生する。

(3)C-DNSサーバのキャッシュ

• C-DNSサーバのキャッシュには、G社のドメイン名のTXTレコードが保存されていた。
• TXTレコードには、SPFレコードが設定されており、G社に割り当てられたIPアドレスのうち、G社がメールを送信するサーバのIPアドレスが設定されていた。

２．支社システムの検討と導入

A社では、インターネット及びIP-VPNのトラフィック増加に対処するため、支社システムを導入することとした。
支社システムには、新たなFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。
新たなDMZには、支社プロキシサーバを導入した。
支社プロキシサーバの名前解決に、C-DNSサーバを利用することと、FW-AとC-DNSサーバの設定の見直しを検討した。
検討の結果、送信元が支社プロキシサーバに詐称された問合せPTを拒否する設定は不可能であり、FW-AのIPアドレス詐称対策機能が有効に機能しないことがわかった。
再検討した結果、支社システムに機能を追加することで対応することにした。
この対策によって、支社プロキシサーバとC-DNSサーバ間の通信が不要になることも確認した。

送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIP
アドレス詐称対策機能が有効に機能しない理由
⇒　支社プロキシサーバからの正規問い合わせPTと詐称された問い合わせPTとを識別できないから

支社システムに追加する機能
⇒　リゾルバ機能およびDNSキャッシュ機能（C-DNSサーバと同じ機能。前述あり）

05.